Ricominciamo la nostra rubrica dedicata alla sicurezza informatica parlando di un aspetto più “tecnico” a cui fare attenzione per tutelare la nostra presenza online.
Cosa facciamo in automatico, senza pensarci troppo, per visitare un sito? Apriamo il browser, digitiamo un indirizzo o clicchiamo su un link e via, verso la nostra destinazione finale.
In pratica scriviamo o incolliamo un testo che specifica l’indirizzo di una risorsa su internet, come una pagina web, un’immagine o un file: in termini tecnici, un URL (Uniform Resource Locator, in italiano Indirizzo di Risorsa Uniforme). Si tratta di una stringa che viene utilizzata dai browser e da altri software per individuare e accedere alle risorse online.
Spesso non ci rendiamo conto che proprio quell’indirizzo, l’URL, può nascondere insidie importanti per la nostra sicurezza digitale. Ricordiamoci sempre che la barra degli indirizzi del browser è molto più di un semplice campo di testo, è la porta d’accesso al mondo online e comprenderne l’uso corretto è essenziale per proteggerci sul web.
In questo articolo vi spiegheremo come leggere correttamente un URL, quali sono gli errori comuni che possono portare a cadere in trappole informatiche (phishing, malware, furti di dati) e come proteggerci, soprattutto quando si naviga dal proprio smartphone. Negli ultimi 12 mesi, il 67% degli attacchi di phishing ha utilizzato tecniche di manipolazione degli URL, rendendo questo argomento estremamente di attualità.
Come è fatto un URL?
Un URL è composto da diverse parti, tra cui:
– Protocollo di comunicazione: è il metodo di accesso alla risorsa. Nello specifico possiamo avere:
- https:// (sicuro, crittografato, è presente anche un lucchetto chiuso)
- http:// (non sicuro, vulnerabile, da evitare)
Dal 2023, oltre il 95% del traffico web è cifrato, ma ancora si vedono attacchi che sfruttano connessioni HTTP non protette, specialmente in reti Wi-Fi pubbliche.
– Dominio: identifica il server che ospita la risorsa (ad esempio www.sitoweb.com). Ci sono diversi livelli di dominio:
- .com: dominio di 1° livello
- sitoweb: domino di 2° livello
- www: dominio di 3° livello
Il dominio (sitoweb.com) è il vero indicatore dell’identità del sito. I criminali informatici lo sanno bene, e cercano di trarre in inganno con domini “simili” a quelli legittimi, cambiando una lettera, usando un trattino, o sfruttando domini di primo livello diversi (ad esempio .com invece di .it).
– Percorso: specifica la posizione della risorsa sul server.
- sitoweb.com/pagina.html (/pagina.html in questo caso è il percorso)
– Parametri (opzionali, ad esempio ?id=123): forniscono informazioni aggiuntive per la richiesta.
Esempi di URL falsificati
Legittimo: https://www.intesaonline.it
Falso: https://www.intesa-onIine.com (notare la “l” di “online” che è in realtà una “i” maiuscola)
Legittimo: google.com
Falso: go0gle.com oppure gooogle.com
Legittimo: bankofamerica.com
Falso: bankofarnerica.com oppure bank-of-america.com
Un altro esempio di link che sembrano la stessa cosa, ma non lo sono:
il dominio qui è account.google.com
qui il dominio è account.google.com.ServiceLogin.it che quindi porta ad un indirizzo diverso
Come possiamo tutelarci?
– Leggere attentamente l’URL a cui stiamo accedendo.
– Controllare attentamente l’ortografia del dominio.
– Diffidare di link con variazioni sottili nel nome.
– Fare clic con il pulsante destro sul link e scegliere «Copia collegamento ipertestuale» dal menu che si apre; copiare il link in un documento word o nel blocco note per esaminare il link.
Inoltre, è importante fare attenzione ai certificati SSL di sicurezza. Gli elementi da controllare sono i seguenti:
- lucchetto chiuso nella barra degli indirizzi
- https:// all’inizio dell’URL
- certificato di sicurezza valido (per verificarlo è sufficiente cliccare sul lucchetto per visualizzare le informazioni)
Errori comuni e rischi
Cliccare su link sospetti ricevuti via email, SMS o WhatsApp
Molti attacchi partono da messaggi che spingono a cliccare su link che sembrano legittimi. Si tratta di tentativi di phishing. Il sito finto può assomigliare a quello di una banca, di Amazon o della posta PEC.
Ignorare l’assenza di HTTPS
Un sito che non usa HTTPS può essere intercettato più facilmente. È meglio evitare sempre di inserire dati personali o credenziali in siti non sicuri.
Affidarsi completamente a Google o al copia/incolla
Talvolta si clicca sul primo risultato di Google senza pensarci. Ma anche nei risultati sponsorizzati (gli annunci a pagamento) si nascondono truffe. Verifica sempre il dominio prima di cliccare.
E con gli smartphone?
Il rischio purtroppo aumenta. Lo schermo è piccolo e i link spesso vengono accorciati (ad esempio bit.ly/xyz123), pertanto visualizzare il dominio completo non è sempre semplice. Inoltre, app e browser mobili possono mascherare gli indirizzi completi.
Buone prassi per proteggersi
– Tieni premuto su un link per vedere dove porta prima di aprirlo.
– Verifica sempre il dominio prima di inserire dei dati.
– Evita di cliccare su link accorciati a meno che la fonte sia affidabile (anche in quel caso è sempre meglio controllare).
– Abilita la visualizzazione dell’URL completo nel browser (ad esempio in Chrome su Android si può attivare la visualizzazione completa nella barra indirizzi).
– Non cliccare mai su link sospetti ricevuti via email o messaggistica.
– Digita manualmente l’indirizzo se hai dubbi, soprattutto per home banking o servizi sensibili.
– Installa un’estensione anti-phishing nel browser.
– Aggiorna sempre browser e sistema operativo, anche su smartphone.
– Fai attenzione ai QR Code: potrebbero essere usati anche per indirizzarti a siti fraudolenti.
– Usa password manager per gestire gli accessi.
– Installa un buon antivirus anche su smartphone: alcuni identificano siti malevoli in tempo reale.
– App e browser mobili possono mascherare indirizzi completi, presta sempre attenzione.
– Per una navigazione su mobile sicura, ricordati di utilizzare sempre browser aggiornati, di installare app solo da siti ufficiali e di verificare le autorizzazioni delle app.
In conclusione
Il controllo dell’URL è una delle prime e più semplici difese contro molte minacce informatiche.
Dovrebbe diventare un’abitudine quotidiana, come guardare entrambi i lati della strada prima di attraversare. Un uso consapevole del browser e dello smartphone è il primo passo per proteggere i tuoi dati, la tua identità e anche il tuo portafoglio.
Ricorda che l’Area Legale di Ascom Padova offre un servizio dedicato a sostenere le aziende in materia di cybersecurity, privacy e conformità al GDPR.
Puoi richiederci informazioni per l’adeguamento al GDPR Privacy compilando il form a questo link.
Contattaci legale@ascompd.com o chiamaci 049/8209741.
Ascom Servizi Padova spa
Padova, 14 gennaio 2026